另一方面，根據Chainanalysis進行的一項研究顯示，去年，在俄烏戰爭爆發之前，近75%用于勒索軟件支付的加密貨幣流向了俄羅斯。試想一下，既然現在俄羅斯已經成為一個受制裁的國家，那么支付這些贖金勢必會面臨法律后果。

 

對于數字風險保護公司GroupSense的首席執行官Kurtis Minder來說，這些新的制裁措施意味著他將被迫拒絕更多尋求響應和談判服務的勒索軟件受害者，否則有可能與財政部外國資產控制辦公室(OFAC)發布的越來越長的制裁清單發生沖突。

 

在過去兩年領導過數百場勒索軟件談判的Minder表示，與具體而清晰的OFAC制裁清單相反，針對俄羅斯的制裁范圍廣泛且模棱兩可，如果沒有適當的情報和背景支持，通常很難遵守。

 

他解釋稱，“美國政府正以越來越快的速度制裁俄羅斯境內的實體。因此，即便有了OFAC名單，我們仍然需要借助公司的外部情報和風險數據(除了制裁名單之外)來了解受害者是直接向受制裁實體付款，還是通過與受制裁的團體或地區有關的聯盟計劃(Affiliateprogram)。”

 

這些制裁中的大部分是白宮打擊勒索軟件舉措——通過破壞勒索軟件團伙、增強彈性、增加通過加密貨幣進行洗錢的困難度，以及解決像俄羅斯這樣的網絡犯罪安全港——的延伸。

 

 

自從俄羅斯對烏克蘭發動戰爭以來，向俄羅斯實體支付贖金已成為一個政治熱點，美國財政部長Janet Yellen也不禁感嘆勒索軟件犯罪分子如何在俄羅斯逍遙法外。財政部的新聞稿還宣布，向制裁關系中的實體支付勒索軟件費用是對美國國家安全的威脅。

 

負責領導網絡犯罪調查數十年的前FBI官員Scott Augenbaum表示，“14年前，也就是2008年，在俄羅斯的FBI特工偵察到普京政府是俄羅斯大多數網絡攻擊的幕后支持者。現在，由于這成了個政治問題，我們就宣布制裁，我們懲罰的實際上是受害者!這太荒謬了，支付贖金不應該作為一個政治問題，因為當它進入到贖金談判階段時，受害企業早已處于下風，除了支付贖金，幾乎沒有其他出路。”

 

在最近的一篇博文中，Benesch律師事務所數據保護小組合伙人Luke Schaetzel描述了在支付贖金時如何故意違反這些制裁措施，每次違規會導致最高100萬美元的罰款和/或最高20年的監禁。加重處罰的因素包括故意或魯莽違法、隱瞞付款、管理層參與以及未事先通知并與OFAC合作等。

 

Schaetzel補充道，雖然尚未有任何企業因違反這些制裁措施支付贖金而遭受指控，但一旦企業違反這些制裁措施，即便自身并不知情，也可能會受到嚴重的民事和刑事處罰。

 

OFAC的制裁列表非常具體，包括勒索軟件名稱、相關URL和暗網地址、個人、服務器IP地址以及電子郵件地址等。Schaetzel認為，對國家的制裁(特別是在戰爭時期)影響范圍更廣，支付贖金也會變得更加復雜。他解釋稱，“這些戰時制裁適用于俄羅斯的大批官員、銀行和國有實體。向或通過俄羅斯銀行及其他官員資助的任何團體支付贖金也可能違反制裁法。因此，如果你懷疑受制裁的俄羅斯實體參與或可能參與，請不要支付贖金。”

 

 

Schaetzel指出，以俄羅斯頂級勒索軟件組織之一Conti為例，它在戰爭開始時曾威脅要攻擊任何試圖入侵俄羅斯資產的行為者的關鍵基礎設施。Conti就是可能不直接在制裁名單上但仍因隸屬關系而受到制裁的附屬組織。Conti是由俄羅斯犯罪集團Wizard Spider創建的Ryuk勒索軟件的產物，該犯罪集團也受到制裁并支持TrickBot僵尸網絡。因此，向這些實體中的任何一個或通過這些實體付款都將違反制裁。

 

這就出現了問題。OFAC名單上列出的許多俄羅斯犯罪組織已經關閉并改頭換面重新運營，這意味著該名單本身已經過時。正因為如此，攻擊者根本不關心這些制裁措施，制裁本身對受害者的傷害可能遠比對罪犯的傷害更大。

 

Mott補充道，“OFAC根本沒有足夠的人力來跟蹤所有比特幣交易，以查看它們是否被支付給受制裁的實體或國家。而且，制裁名單上的那些比特幣地址現在已經過時了。勒索軟件運營商可以在一夜之間關閉并以新名稱重新運營，但一個實體需要大約一年的時間才能進入OFAC制裁名單。”

 

一個例子是REvil，在FBI引渡和逮捕其關鍵運營人員后，它在1月份關閉了業務。現在，REvil似乎以RuTOR的名字重新出現在俄羅斯暗網市場中;另一個例子是Conti，在其運營商威脅要通過反擊保衛俄羅斯后，該組織開始更名并多元化為多個衍生組織。

 

 

Mott認為，在處理勒索軟件感染時，通過與當地FBI網絡現場辦公室建立預先關系來了解向誰報告是至關重要的。

 

他回憶稱，在2019年擔任FBI反間諜小組負責人的一次任務中，他辦公室的一名特工致電當地一家企業的CIO，并告知其網絡上存在未激活的俄羅斯勒索軟件。為了驗證這一說法，該CIO打電話給Mott進行確認。做出肯定答復后，Mott又告訴其應該采取的補救措施。不過，該CIO仍然不相信他們。在時間過去兩天仍未得到CIO的回應后，FBI網絡小組主管與CIO分享了他們系統上的文件名、位置以及刪除方式。然后該CIO向負責外地辦事處的特工發送電子郵件以獲取額外的驗證，結果，勒索軟件運營者看到了那封電子郵件并立即加密了其公司的數據。此事說明了預先了解FBI機構的重要性。

 

CyberCurb公司管理合伙人Bob Seeman表示，如果受害者在不知情的情況下向或通過受制裁的實體和聯盟組織支付贖金，基于他們與當局的關系也將減少責罰。如果在勒索軟件攻擊的重壓下，受害組織已與FBI取得聯系，則表明他們樂意與執法部門合作。

 

他建議道，“提前制定可證明的合規計劃。如需幫助，你可以求助于網絡保險公司，它們將幫助你聘請合適的風險緩解人員、勒索軟件談判人員、律師事務所和取證調查員。一個合格的團隊將檢查制裁名單并尋找該網絡攻擊者與受制裁實體有關聯的指標。此外，一定要立即通知執法部門有關任何勒索軟件攻擊行為，尤其是FBI，它是處理勒索軟件的最高機構。”

 

總之，受害者和執法部門需要共同努力，共享情報。例如，Mott建議與FBI共享受影響設備的策略、技術和程序(TTP)以及內存捕獲，他們可以使用這些信息來構建配置文件。如果支付了贖金，那么用于解鎖勒索軟件的數字密鑰也是可以提供給FBI的關鍵情報。

 

美國網絡安全和基礎設施安全局(CISA)的“停止勒索軟件計劃”網站提醒稱，在準備上報時，受害者要謹慎保存具有高度易失性或備份有限的證據，以防止丟失或篡改(例如系統內存、Windows 安全日志或防火墻日志緩沖區中的數據)。FBI還建議受害者在支付贖金前，先檢查該局是否有解密密鑰，以解鎖特定的勒索軟件家族。

 

FBI發言人表示，“FBI將繼續與政府和行業合作伙伴共同努力，以阻止、識別和遏制此類惡意活動。我們強烈鼓勵公司的網絡防御者查看我們最近發布的幾項網絡安全公告(CSA)。這些CSA是FBI與合作伙伴快速共享的新型攻擊信息——例如特定的俄羅斯惡意軟件簽名、妥協指標以及他們的戰術變化——的方式之一。”

 

 

考慮到向俄羅斯和其他受制裁實體支付贖金所產生的法律責任，防御勒索軟件攻擊對于企業CISO來說變得更加重要。Augenbaum表示，研究表明，脆弱的RDP憑證(保護起來并不復雜)是主要的感染媒介，其他因素還包括過度許可/共享管理員權限、缺乏應用程序白名單以及缺乏對系統和網絡的可見性。企業組織可以從這些基礎開始部署防護措施。

 

Augenbaum補充道，“沒有人期望成為受害者，僥幸心理是企業在準備方面犯的最大錯誤。另一個錯誤是期望FBI使用加密密鑰和解決方案來幫助他們解鎖數據。企業可以控制的只是他們自己的漏洞，并利用工具和最佳實踐來防止勒索軟件感染。”

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。